a CVE dispute
Daniel Stenberg chia sẻ về lần tranh chấp đầu tiên liên quan đến CVE của dự án curl kể từ khi trở thành CVE Numbering Authority (CNA). Một phóng viên báo cáo lỗi wildcard certificate matching khi hostname có dấu chấm đầu tiên (tên DNS bất hợp pháp), đòi hỏi điều kiện tấn công rất cụ thể. Nhóm curl đã sửa lỗi nhưng từ chối gán CVE vì xếp mức độ nguy hiểm thấp hơn "LOW". Sau khi phóng viên khiếu nại lên MITRE, tổ chức này đã ba lần liên hệ nhưng cuối cùng vào ngày 24/6, MITRE xác nhận quyết định không cấp CVE. Bài viết cũng nhấn mạnh chi phí thực tế của CVEs khi libcurl có ~30 tỷ lượt cài đặt và lý do nhóm không muốn gây xáo trộn không cần thiết trong hệ sinh thái.
Bạn nên đọc bài này để hiểu cách các dự án công cộng như curl xử lý tranh chấp về CVE, từ đó tránh những rủi ro về quản lý thông tin bảo mật và hiệu quả trong việc phát triển phần mềm.
